<!doctype html>
<html lang=ru>
<meta charset=utf-8>

<title>OpenSMTPD: Безопасность</title>
<meta name="description" content="OpenSMTPD advisories">
<meta name="viewport" content="width=device-width, initial-scale=1">
<link rel="stylesheet" type="text/css" href="openbsd.css">
<link rel="canonical" href="https://www.opensmtpd.org/security.html">

<style>
h3 {
        color: var(--red);
}
</style>

<h2 id=OpenBSD>
<a href="index.html">
<i>Open</i><b>SMTPD</b></a>
Безопасность
</h2>
<hr>

<p>
OpenSMTPD разрабатывается с такой же строгостью к вопросам безопасности,
которым славится сама OpenBSD. Если вы хотите сообщить о проблеме
безопасности в OpenSMTPD, пожалуйста отправьте письмо в специальную для
этого рассылку разработчиков
&lt;<a href="mailto:opensmtpd-security@openbsd.org">opensmtpd-security@openbsd.org</a>&gt;.

<p>
Ознакомтесь с материалом по теме
<a href="https://openbsd-ru.github.io/security.html">безопасности в OpenBSD</a>.

<ul>
  <li>
    <h3 id="664">Известные проблемы безопасности в OpenSMTPD 6.6.4</h3>
    <p>
    В OpenSMTPD 6.6.4 было найдено несколько проблем безопасности &mdash; все они уже
    исправлены в нашем репозитории, а также в новых снапшотах и релизах, начиная с версии 6.6.4.
      <ul>
      <li>24 февраля 2020:
	  <a href="https://ftp.openbsd.org/pub/OpenBSD/patches/6.6/common/021_smtpd_envelope.patch.sig">
            An out of bounds read in smtpd allows an attacker to inject arbitrary
            commands into the envelope file which are then executed as root.
            Separately, missing privilege revocation in smtpctl allows arbitrary
            commands to be run with the _smtpq group.</a>
      </ul>
  <li>
    <h3 id="661">Известные проблемы безопасности в OpenSMTPD 6.6.1</h3>
    <p>
    В OpenSMTPD 6.6.1 было найдено несколько проблем безопасности &mdash; все они уже
    исправлены в нашем репозитории, а также в новых снапшотах и релизах, начиная с версии 6.6.2.
    Затронуты все версии с 6.4.0 и до 6.6.1 включительно.
      <ul>
	<li>28 января 2020:
	  <a href="https://ftp.openbsd.org/pub/OpenBSD/patches/6.6/common/019_smtpd_exec.patch.sig">
	    An incorrect check allows an attacker to trick mbox delivery into executing
	    arbitrary commands as root and lmtp delivery into executing arbitrary commands
	    as an unprivileged user.</a>
      </ul>

  <li>

    <h3 id="545">Известные проблемы безопасности в OpenSMTPD 5.4.5</h3>
    <p>
    В OpenSMTPD 5.4.5 были найдены проблемы безопасности &mdash; все эти проблемы уже исправлены
    в нашем репозитории, а также в новых снапшотах и релизах.
      <ul>
	<li>19 июня 2015:
	  <a href="https://github.com/OpenSMTPD/OpenSMTPD/commit/c008f17c30f78b4877be768e641a56317e927dca">
	    A logic error can allow a local user to crash the server.</a>
	<li>1 октября 2015:
	  <a href="https://ftp.openbsd.org/pub/OpenBSD/patches/5.8/common/004_smtpd.patch.sig">
	    Fix multiple reliability and security issues in smtpd.</a>
      </ul>

  <li>
    <h3 id="544">Известные проблемы безопасности в OpenSMTPD 5.4.4</h3>
    <p>
    В OpenSMTPD 5.4.4 были найдены проблемы безопасности &mdash; все эти проблемы уже исправлены
    в нашем репозитории, а также в новых снапшотах и релизах.
      <ul>
	<li>17 апреля 2015:
	  <a href="https://github.com/poolpOrg/OpenSMTPD/commit/8033379df63459667510537880d8f5b93fecea44">
	    OpenSMTPD's SSL layer has a bug in the handling of SNI negotiation which can
	    lead to an attacker causing an invalid certificate being presented to a
	    concurrent session, a client disconnect or a server crash.</a>
      </ul>

  <li>
    <h3 id="531">Известные проблемы безопасности в OpenSMTPD 5.3.1</h3>
    <p>
    В OpenSMTPD 5.3.1 были найдены проблемы безопасности &mdash; все эти проблемы уже исправлены
    в нашем репозитории, а также в новых снапшотах и релизах.
      <ul>
	<li>16 мая 2013:
	  <a href="https://github.com/poolpOrg/OpenSMTPD/commit/d94be90f62f024fd928b9744c5d3af1350f53aab">
	    OpenSMTPD's SSL layer has a bug in the IO events handler which can cause an evil client or
	    server to hang all active SSL sessions until they timeout, causing a DoS in smtp and
	    transfer processes.</a>
      </ul>
</ul>
